Chrome resolve 151 vulnerabilidades em atualização histórica

Atualização de Segurança do Chrome Corrige 151 Vulnerabilidades

Em maio de 2026, o Google lançou uma atualização significativa para o Chrome, corrigindo 151 vulnerabilidades na versão 148.0.7778. Dentre essas falhas, 22 foram classificadas como críticas, permitindo a execução remota de código apenas com a visita a sites maliciosos. Essa atualização é crucial para organizações que utilizam o Chrome e navegadores baseados em Chromium, como Edge, Brave e Opera, destacando a necessidade de políticas de gerenciamento de patches mais ágeis.

O número de falhas corrigidas representa um marco na segurança de navegadores, sendo o maior já registrado em uma única versão. Para as equipes de TI e cibersegurança, essa atualização é um alerta que requer ação imediata.

Falhas Críticas que Dispõem de Execução Remota de Código

Das 151 vulnerabilidades corrigidas, 22 são consideradas críticas, com os CVEs variando de CVE-2026-9872 a CVE-2026-9893. Essas falhas permitem a execução remota de código, um dos tipos mais perigosos de vulnerabilidades em ambientes corporativos.

O risco é elevado, pois um simples acesso a um site malicioso por um colaborador pode desencadear um ataque, sem necessidade de interação adicional. Em redes corporativas com muitos dispositivos, essa vulnerabilidade representa uma superfície de ataque ampla e difícil de controlar.

Predomínio de Falhas do Tipo Use-After-Free

O tipo de falha mais comum nesta atualização é o use-after-free, que representa mais de 50% das vulnerabilidades corrigidas. Esse tipo de erro ocorre quando um programa acessa uma área de memória após ela ter sido liberada, podendo ser explorado para execução arbitrária de código.

Inteligência Artificial na Detecção de Vulnerabilidades

O aumento no número de falhas detectadas é atribuído ao uso de inteligência artificial nos processos de descoberta de vulnerabilidades do Google. Das 151 falhas, 134 foram identificadas internamente, demonstrando a eficácia das ferramentas de fuzzing e análise automatizada.

Apenas 17 vulnerabilidades foram reportadas por pesquisadores externos, e o programa de recompensas do Google pagou US$ 137.500 em recompensas até a data da publicação. O ciclo da versão Chrome 148 acumulou mais de 350 vulnerabilidades corrigidas desde março, o que justifica a revisão das políticas de atualização em ambientes corporativos.

Edge e Outros Navegadores Sem Atualizações Equivalentes

No momento da publicação, o Microsoft Edge, navegador baseado em Chromium, ainda não havia recebido atualizações equivalentes. Isso expõe organizações que utilizam o Edge a vulnerabilidades críticas enquanto aguardam a atualização da Microsoft.

O mesmo se aplica a outros navegadores derivados de Chromium, como Brave e Opera. A diferença entre o patch do Google e as atualizações desses navegadores é um risco frequentemente subestimado nas políticas de gestão de ativos.

Impacto nas Equipes de TI e Cibersegurança

A automação de atualizações é uma prioridade. Ambientes que dependem de aprovação manual para a implementação de patches ficam vulneráveis a falhas com potencial de execução remota de código. Políticas de atualização automática devem ser revisadas e implementadas com urgência.

Além disso, é essencial monitorar navegadores derivados, pois um patch no Chrome não garante proteção imediata para todos os navegadores utilizados na organização. O inventário de ativos deve incluir as versões dos navegadores e seus ciclos de atualização.

Por fim, a revisão das políticas de acesso à web é crucial, uma vez que a exploração das vulnerabilidades críticas não requer interação do usuário além do acesso a um site. Soluções de filtragem de conteúdo e segmentação de rede se tornam camadas de defesa importantes.

Fonte por: Its Show